前段时间,博客接连被黑了几次,这对于我来说还是头一次遭遇。第一次被黑的时候,后台登陆不进去,查看数据库发现账号和密码被改了,以为是密码泄漏了,于是重置主机内容,更换账号密码,用备份数据重新上线;隔了一周,发现又登陆不上了,首页还被篡改了一部分内容,真是无语,简单处理了下又可以访问了;没想到过了几天,又被黑了,真是心累,放了好几天都懒得处理,后果就越来越严重了,主机被上传了新的目录和文件,接着网站链接也被用 .htaccess 改的指向别处了,看来不得不好好收拾一下了。
去 Google 上搜了一下,找到一篇不错的文章—— WordPress 终极安全指南,参考着把里面提到的绝大部分操作都实现了。
下面简单说下这次处理的几个地方:
一、自动更新
通过插件 Companion Auto Update 让 WordPress 核心、插件和主题的一直保持最新。
二、自动备份
这个之前就设置了,用的是 BackWPup 插件定期备份网站数据到 Dropbox,这次在文章中看到推荐的是 UpdraftPlus,后面可以对比试下哪个好用。
三、安全扫描
通过 WordFence 插件来搞定,功能还挺强大的,设置了隐藏 WordPress 版本号、禁止上传文件夹执行代码,同时还限制了登陆尝试次数,防止暴力破解。
四、保护登陆入口
安装了 WPS Hide Login 插件,禁止对 /wp-admin 和 /wp-login.php 的访问,并把登录入口修改成自定义 URL。
五、修改数据库前缀
防止 SQL 注入,这次数据库被改,怀疑这个可能性极大,之前装 WordPress 都喜欢用默认前缀 wp_ 的,看来后面得改下习惯。
六、关闭 XML-RPC
通过 Disable XML-RPC 插件,彻底关闭了 XML-RPC 功能。
七,启用 Https
之前怕麻烦,一直懒得升级,这次被迫弄了下,借助 Really Simple SSL 插件升级到了 Https,还算比较快的,就是要验证的细节比较多,后面把 Google Webmasters 中的相关信息也更新了下 。
重新部署之后到现在也有两三周了,通过 WordFence 后台发现了一些异常的访问,也屏蔽了一些 IP,但至少目前博客看起来还是安全的,没有被渗透的迹象。
上周的时候,Google 搜索了下博客名字,本来是想看下是否还有之前加上的垃圾链接时,发现居然有全站链接了,不清楚是不是改了 Https 之后带来的,算是个意外之喜。
个人博客虽小,安全也得注意,尤其对于 WordPress 这么流行的博客系统,安装后一定要检查是否做到了以下三点:自动更新、安全插件定期扫描和自动备份,做到了这三点,基本可保网站无虞。
欢迎转载,转载请注明出处:蔓草札记 » 写在 WordPress 博客被黑之后